Bienvenidos a nuestro próximo mini curso. En esta ocasión hablaremos de nuestro nuevo servicio.
Aquí hagamos una pequeña digresión. Estoy seguro de que mucha gente ahora está pensando: "¿En qué se diferencia esto de
Qué puede comprobar un administrador de red mediante esta auditoría:
- Análisis de tráfico de red — cómo se cargan los canales, qué protocolos se utilizan, qué servidores o usuarios consumen la mayor cantidad de tráfico.
- Retrasos y pérdidas de la red. — tiempo medio de respuesta de sus servicios, presencia de pérdidas en todos sus canales (la capacidad de encontrar un cuello de botella).
- Análisis de tráfico de usuarios — análisis exhaustivo del tráfico de usuarios. Volúmenes de tráfico, aplicaciones utilizadas, problemas al trabajar con servicios corporativos.
- Evaluación del rendimiento de la aplicación — identificar la causa de los problemas en el funcionamiento de las aplicaciones corporativas (retrasos en la red, tiempo de respuesta de los servicios, bases de datos, aplicaciones).
- Monitoreo de SLA — detecta e informa automáticamente retrasos y pérdidas críticas al utilizar sus aplicaciones web públicas en función del tráfico real.
- Buscar anomalías en la red — Suplantación de DNS/DHCP, bucles, servidores DHCP falsos, tráfico DNS/SMTP anómalo y mucho más.
- Problemas con las configuraciones. — detección de tráfico de usuarios o servidores ilegítimos, que puede indicar configuraciones incorrectas de conmutadores o cortafuegos.
- Reporte comprensivo — un informe detallado sobre el estado de su infraestructura de TI, que le permitirá planificar el trabajo o comprar equipos adicionales.
Qué puede comprobar un especialista en seguridad de la información:
- actividad viral — detecta tráfico viral dentro de la red, incluido malware desconocido (día 0), basándose en un análisis de comportamiento.
- Distribución de ransomware — la capacidad de detectar ransomware, incluso si se propaga entre ordenadores vecinos sin salir de su propio segmento.
- Actividad anormal — tráfico anormal de usuarios, servidores, aplicaciones, túneles ICMP/DNS. Identificar amenazas reales o potenciales.
- Ataques de red — escaneo de puertos, ataques de fuerza bruta, DoS, DDoS, interceptación de tráfico (MITM).
- Fuga de datos corporativos — detección de descargas (o cargas) anormales de datos corporativos desde los servidores de archivos de la empresa.
- Dispositivos no autorizados — detección de dispositivos ilegítimos conectados a la red corporativa (determinando el fabricante y el sistema operativo).
- Aplicaciones no deseadas — uso de aplicaciones prohibidas dentro de la red (Bittorent, TeamViewer, VPN, Anonymizers, etc.).
- Criptomineros y Botnets — comprobar la red en busca de dispositivos infectados que se conecten a servidores C&C conocidos.
Informes
Según los resultados de la auditoría, podrá ver todos los análisis en los paneles de Flowmon o en informes en PDF. A continuación se muestran algunos ejemplos.
Análisis de tráfico generales
Panel personalizado
Actividad anormal
Dispositivos detectados
Esquema de prueba típico
Escenario 1 - una oficina
La característica clave es que puede analizar el tráfico tanto externo como interno que no es analizado por los dispositivos de protección perimetral de la red (NGFW, IPS, DPI, etc.).
Escenario 2 - varias oficinas
Video tutorial
Resumen
La auditoría CheckFlow es una excelente oportunidad para los administradores de TI/IS:
- Identifique problemas actuales y potenciales en su infraestructura de TI;
- Detectar problemas con la seguridad de la información y la efectividad de las medidas de seguridad existentes;
- Identificar el problema clave en el funcionamiento de las aplicaciones empresariales (parte de red, parte de servidor, software) y los responsables de solucionarlo;
- Reducir significativamente el tiempo para solucionar problemas en la infraestructura de TI;
- Justificar la necesidad de ampliar canales, capacidad de servidores o compra adicional de equipos de protección.
También recomiendo leer nuestro artículo anterior:
Si está interesado en este tema, estad atentos (
Solo los usuarios registrados pueden participar en la encuesta.
¿Utiliza analizadores NetFlow/sFlow/jFlow/IPFIX?
-
55,6%Sí5
-
11,1%No, pero planeo usar1
-
33,3%No3
9 usuarios votaron. 1 usuario se abstuvo.
Fuente: habr.com